摘要:数字化背景下,行政机关处理个人信息的行为对个体权利的影响日益深远。在个人信息权已获法律确认并被纳入权利保护范围的背景下,有必要重新思考行政机关处理个人信息行为的性质,并探讨如何对其加以规范。对个人信息权的理解不应仅强调其防御性面向,还需兼顾信息交流对社会关系建构的现实意义。鉴于行政机关的个人信息处理行为广泛渗透于各类行政活动中,难以完全实现标准化,规范此类行为可采取有限类型化思路:对存在较高权利侵害风险的信息处理活动,应予以类型化界定并通过单行法的具体授权确立其合法性;对于侵扰性较低或难以标准化的信息处理活动,则允许基于法定职责推导处理权限。针对法律授权明确性不足的问题,可通过强化行政自我规范、运用“告知—同意”规则及完善程序与组织保障机制加以弥补。
关键词:行政行为;个人信息;权利限制;法律明确性;法律保留
引 言
行政活动的有效开展始终离不开对个人信息的收集与处理,从户籍登记、纳税记录到出入境管理、违法犯罪防控,个人信息构成行政机关履行职能的重要基础。在传统治理模式下,此类信息处理多依托法定程序展开,程序本身划定了信息收集的边界,间接构成个体权利的保障机制。然而,随着数字技术深度融入行政活动,这一格局发生了根本变化。借助监控设备、智能算法等技术手段,行政机关得以突破传统程序限制,高频次、高密度地触及个人在日常社会生活中产生的各类信息;通过向互联网平台等私主体调取数据、跨部门信息共享等方式,个人信息更能脱离原始收集场景,被用于完成多元行政任务。这种处理范围的急剧扩张与处理方式的深刻转型,虽然提升了行政效能,但也对个体权利保障构成了前所未有的挑战。
面对上述变化,现行法律保护机制适配性的不足日益凸显。尽管民法典、个人信息保护法等已将国家机关个人信息处理活动纳入规范范围,但相关规定仍显疏略,实践中执行效果欠佳。尤其是,在司法实践中,行政机关处理个人信息的行为,仍然经常被不加检视地认定为并不影响当事人权利,从而被排除在行政诉讼受案范围之外。如此一来,即使行政机关的行为违反了前述法律,也无法通过有效的监督救济机制获得矫正。追根溯源,这种困境源于传统行政法理论的认知局限,即未将行政机关处理个人信息的行为视作具有权利限制属性的行为,而多将其归入调查行为或事实行为范畴。这种认知不仅影响了司法实践中对于相关行为性质的判断,也阻碍了法律保护机制的制度完善与理论升级。
在数字化背景下,民法典、个人信息保护法等为个人信息处理行为设定的规范必须落到实处,这要求行政机关处理个人信息的行为应当接受更为精细的法律框架的约束。由此,传统行政法上的相关理论亟待反思与重构。基于这一问题意识,本文首先回顾传统行政法理论对个人信息处理行为属性的认知及其观念基础,揭示其在数字时代面临的挑战;进而基于不同个人信息处理活动对个体权利影响程度的差异,以及行政机关信息处理活动的复杂性,提出有限类型化的规范思路,即将具有较高权利侵害风险的处理行为认定为具有权利限制属性的行为,通过单行法的具体授权为信息处理确立合法性基础;对于侵扰性较低或者难以标准化的信息处理活动,可以基于行政职责推导信息处理权限,再通过行政自我规范、适用“告知—同意”规则、强化程序与组织保障等,弥补法律明确性不足可能导致的权利保护漏洞。
一、传统理论对信息处理行为的认知及其时代局限
全面掌握相关信息是政府开展规制活动的基本前提,但在既有理论研究和制度实践中,行政机关的信息处理行为,尤其是处理个人信息的行为,并未得到充分关注。在当代数字社会,这类行为对个体权利的影响日益深远,亟需从法律层面予以全面审视。
(一)传统行政法理论视野中的信息处理行为
证成行政决定的合法性,需要充分阐释相关决策的信息基础。然而,在既有法律制度和理论中,信息处理行为并未被纳入概念化分析范畴,被概念化的仅是其外在表现形态,如行政调查、行政检查等行为形式,且对这些行为形式的关注也仅聚焦于其对人身权、财产权等传统权益产生影响的部分,信息处理行为自身会产生何种影响、应受何种规范并非重点。例如,当前法律规范的重点是对人身权、财产权构成直接限制的强制调查行为,而单纯的信息收集处理行为被归入任意调查范畴,行政机关对此类行为享有较为宽泛的权力。尽管有学者较早察觉到信息处理行为对依法行政的重要意义,提出应从组织架构、法律依据与规制规范的关系维度,直接探究信息收集与处理活动的合法性,这在相当程度上预见了当下法律的发展方向,不过,其给出的方案仍非直接规范信息处理活动,而是通过调控基于相关信息作出的最终行政决定的法律效果实现间接规范,未能构建起对信息处理行为的独立规范框架。
对于信息处理行为的忽视,根源于行政法学界对行政行为何时具备权利限制属性的传统认知。就法律保留这一关键原则而言,无论理论研究还是实践运行,长期以来强调的都是“限制保留”,即限制公民权利的行政行为必须事前获得立法的明确授权,仅因欠缺授权这一项,便足以认定行政行为违法。尽管学界不乏将法律保留原则的适用范围拓展至内部行政、给付行政乃至行政组织设定等领域的理论主张,但此类观点尚未形成共识。更关键的是,传统权利限制观念存在两个显著特征:其一,在概念界定上,具有权利限制属性的行为特指那些本身以限制当事人权利为目的、能直接对权利产生影响,且具有法效性与强制性的行为。这一观念在实践中的体现,便是以“法律行为—事实行为”的区分为基本范式,并以法律行为作为规范重心,即法律着重规制行政机关设定、变更、消灭或确认某种法律地位及产生某种法律效果的行为。其二,法律所重点保护的权利范畴,主要局限于人身权、财产权等传统类型。在这种认知框架下,行政机关对个人信息的处理,通常不会直接对当事人的人身权、财产权产生具有法效性的处分效果,而仅可能引发后续各类影响,因此被归入欠缺法效性与强制性的事实行为范畴。正因如此,与信息处理相关的行政调查等行为,长期以来不被认为具有权利限制属性,自然也未被纳入专门的理论研究范畴和独立的制度建构框架。
(二)数字化时代对传统理论的挑战
在数字化转型的时代背景下,固守传统行政法观念已难以为继,大量信息处理行为游离于法律规制之外的弊端愈发凸显。
首先,数字技术的深度渗透使行政权力的行使方式发生深刻变革,通过个人信息处理构建的所谓“监控社会”,已对个体权利的行使环境产生深远影响。若行政机关实施的影响性、资讯性等行为能够脱离法律约束,法律对个体权益的保障功能必将遭受侵蚀。对此,越来越多的学者主张,判断某一行为是否具有权利限制属性,不应以其是否具备国家高权行为的形式为标准,而应聚焦其结果影响,只要行为对权利造成妨碍后果,即构成权利限制。行政法理论亦开始关注“非正式行政行为”,并在传统行政行为概念的延伸维度上探索,主张对部分法律效果模糊的行为进行类型化规范。
具体到个人信息处理领域,此类行为能够为后续相关行政活动提供决定性的准备条件,直接造成或加剧对相对人权利的影响。在权利限制概念扩张的背景下,上述影响若达到某种程度,即应被视为构成权利限制。这是因为,部分信息处理行为会产生明确且现实的权利侵害风险,且基于信息形成的判断一旦确立便难以逆转;若仅将依据这些信息作出的具有法律效果的终局处理认定为权利限制,则对个体权利的保护而言已错失关键时机。例如,信用信息归集虽在形式上仅是对既有事实的集中记录,不直接对当事人权利产生法效性处分,但会导致相关信息被各类公共和私人部门集中关注、广泛参考,进而产生重复评价、放大法律实施效果等连锁影响。
其次,鉴于信息处理对个体尊严、社会平等等价值的影响日益深远,个人信息权逐步被法律确认为一项独立权利(益)。民法典明确规定个人信息受法律保护,个人信息保护法更是强调个人信息与宪法上人格尊严等基本权利的关联,并将国家机关的个人信息处理活动明确纳入规范范围。尽管民法学界长期存在个人信息权究竟属“权利”还是“权益”的争论,但这只是民法语境下对个人信息权保护范围和保护强度的理解分歧,并未否定立法将个人信息予以类型化并给予独立保护的实际立场。在公法层面,权利认定无需达到民法所要求的特定保护强度,已有学者论证个人信息权构成宪法层面的独立权利。从行政法视角看,只要法律对个人信息权作出独立的、类型化的保护安排,无论将其界定为权利还是权益,都足以要求行政机关在开展相关活动时,将尊重和保护个人信息作为必须考量的重要因素。所谓权利和权益的区分,在认定行政行为是否具有权利限制属性时并不具有显著意义,只要存在“权益侵犯”的情形,即可认定该行为具有权利限制属性,应当纳入行政诉讼受案范围。正因如此,在个人信息权已获法律确认和独立保护的当下,不能再不加审视地将行政机关的个人信息处理行为视作过程性的、不影响当事人权利的行为。
从当下的司法实践看,尽管在相当多数案件中,法院仍将行政机关处理个人信息认定为不具有权利限制属性的行为,从而将其排除在行政诉讼受案范围外。但是,在部分特殊案件中,因信息处理行为对当事人产生的现实影响可被明确预见,人民法院已依法予以受理。例如,当事人因个人身份信息被错误录入违法犯罪人员信息资源库而提起诉讼时,法院不仅受理了该案件,更作出了支持其诉讼请求的判决。总体而言,在权利限制观念随时代演进、权利保护范围不断扩张的背景下,有必要重新思考并定位行政机关个人信息处理行为的性质。此类行为既具有程序面向,是行政过程次第展开中的关键环节,同时也可能具备实体面向的权利限制属性。数字时代的行政法理论与实践,必须正视信息处理行为可能对当事人权利造成的巨大影响,为此类活动建构更为精细完善的法律规制框架。
二、个人信息处理活动授权基础的理论争议与核心分歧
行政机关处理个人信息的活动绝非“原则上自由”,而是必须建立在可证成的合法性基础之上。个人信息保护法虽已明确此类处理活动的合法性基础,但相关规范仍然存在需要厘清的模糊之处。
(一)法定职责作为合法性基础
针对国家机关处理个人信息的行为,个人信息保护法选择以法定职责履行需求为核心界定其合法性基础。根据该法,“为履行法定职责”所必需时可处理个人信息;且处理活动必须“依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。就行政活动而言,这些规定通过将个人信息处理与部门行政法中的实质职责相绑定,既提出了目的合法性要求,又明确了要以“必需的范围和限度”作为行为边界。有争议的是,个人信息处理行为的合法性是否还可以建立在其他基础之上,特别是个人信息保护法第13条中除第1款第3项之外的合法情形。学界对此观点不一,最核心的分歧在于:个人同意能否单独作为行政机关处理个人信息的合法性基础。
本文认为,对于私人主体的个人信息处理活动,国家应充分尊重私人自治与当事人之间的合意,“取得本人同意”在私人信息处理活动中具有阻却违法的重要意义。权利人的“同意”本质上是个体行使自由权过程中达成的合意,是自我负责的体现。然而,行政活动需要以民主过程形成的法律为基本尺度,依法行政的前提就是确保公权力活动具备民主正当性。在法定职责之外,行政机关不存在可以自由追求的其他合法利益,自然无法仅凭当事人同意获得处理权限。若允许单纯以“同意”作为合法性基础,极易导致行政活动借形式合意规避公法约束,造成问责链条断裂,进而侵蚀依法行政的核心价值。此外,鉴于行政机关相对于当事人的高权地位,实际上也很难保证当事人的同意是真正出于自愿。从我国个人信息保护法的规范结构看,尽管第13条列举了多项合法基础,但“不得超出履行法定职责所必需的范围和限度”被规定在国家机关处理个人信息的专节中,且该节明确强调了特别规定的优先适用效力。因此,从体系解释的角度看,若行政机关的个人信息处理活动超出履职必需范围,即便“取得同意”也无法证成其合法性。
(二)能否通过职责推导权限
更关键的问题在于,“履行法定职责所必需”究竟构成对行政机关处理个人信息的授权依据,还是仅为其划定了不可逾越的行为边界。行政法领域存在职责与权限分离的规范结构:职责规范属于组织法范畴,旨在界定行政机关的任务范围与管辖权划分;权限规范属于行为法范畴,其规定行政机关在满足特定要件时可采取何种措施与当事人发生法律关系。例如,立法即便明确某一行政机关在环境保护、市场监管等领域的职责,该机关也不能直接据此获得在该领域实施行政许可、行政强制、行政处罚等权限,这些行为的实施仍需获得具体权限规范的授权并符合法定条件。在此方面,个人信息保护法的规定存在模糊之处。“法定职责”指向部门行政法中的任务规范,似乎可认为行政机关能够基于法定职责概括性地获得相关个人信息处理权限,只要不超出必需范围即可;但该法同时规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行”,这又凸显了权限要素的必要性。
对于上述问题,即便个人信息保护法的立法参与者也未能作出明确解释。在全国人大常委会法工委经济法室立法专家组织编写的“个人信息保护法释义”中,虽列举了法律对个人信息处理的明确授权,强调依据相关法律、行政法规的权限规范处理信息的重要性,但又指出可以“根据国家机关及其履行的职责性质等因素予以判断”,这似乎又承认可以将组织法上的职责规范作为处理个人信息的依据。学界观点亦有分歧。有学者认为,对个人信息的处理构成权利限制,需要获得法律的授权,且授权必须满足明确性的要求;也有学者认为,个人信息处理行为并非均构成直接的权利限制,并不需要在权限上严格适用法律保留原则,而是可以以处理机关自身的规范作为依据;还有学者认为,个人信息保护法的相关规定并未要求通过单行法专门授予行政机关处理权限,只要国家机关依法定权限和程序履职,且特定的信息处理活动系履职所必需,即符合合法性要求。
上述争议的核心在于,授权行政机关处理个人信息的法律规范,需达到何种程度的明确性。职责规范通常具有概括性,法律仅通过任务分配界定行政机关的行动范围,却未明确规定何时采取何种行动。如果以职责规范作为授权基础,行政机关的行动范围将高度开放,个人信息处理行为的合法性以及法院的后续监督也将缺乏明晰标准,而这种法律明确性的缺失有可能掏空法律保留原则的实质内涵。反之,若通过具体行为法授权,尤其是明确规定个人信息处理的目的、条件和范围等,既能为行政机关提供明确的行为依据,规范行政活动,也能使权利人预见其信息将在何种情形下基于何种行政目的被处理。当然,这也意味着立法者需将所有个人信息处理活动标准化,并针对所有可能的场景作出预设规范。
从现行立法来看,不少法律都明确授予了行政机关个人信息处理权限,甚至规定当事人有协助配合义务。例如,税收征收管理法规定了纳税人、扣缴义务人和其他有关单位提供相关信息的义务;出境入境管理法对留存出境入境人员人体生物识别信息作出明确规定。但是,在更多场景中,个人信息处理权限隐含于法律设定的行政任务中。例如,公安机关负有预防、制止和侦查违法犯罪活动的职责,据此可推导出其收集、处理潜在违法者信息的权限。若要确保授权规范具有明确性,立法者需对上述隐含场景予以标准化或类型化。但是,要求所有的个人信息处理行为都满足这一要求,意味着立法需预见所有处理场景并逐一规范,这在现实中是否可行、是否会导致行动标准僵化从而损害行政效能、是否会因规范数量过多而影响规则的可理解性,均存在疑问。
三、权利影响程度视角下法律明确性的分层适用逻辑
作为一项新兴权利,个人信息权在概念细节、核心结构、权利范围等方面还未形成成熟的释义学理论。正是由于在这些基础观念上缺乏共识,处理个人信息的行为是否以及何时构成权利限制才会存在争议,这进一步影响了学界对于个人信息处理活动究竟需要何种方式的授权的理解。
(一)不同主张背后的权利观念及其问题
有学者主张,判断个人信息处理行为的权限,无需严格适用法律保留原则,“履行法定职责所必需”本身即可作为授权基础,其核心论据是,个人信息处理行为是否构成对当事人权利的限制,只有结合后续的行政决定才能获得规范评价。这种观点实际上承认了“限制”观念扩张的必要性,即行政机关对个人信息的处理行为虽不具有法效性、强制性,却可能产生“实际影响”权利义务的效果,故不应一概否定其权利限制属性。然而,该学者同时又认为,立法对于个人信息权的确认不能直接约束行政活动,行政机关开展活动依据的是行政法而非宪法或民法确认的权利。
另有学者主张,行政机关处理个人信息应当获得相关立法的具体授权以确保授权具有明确性,其基本预设是,在立法已经明确保护个人信息权的情况下,任何对个人信息的处理行为都构成对这种权利的限制。这一主张将信息处理行为的合法性与权利限制的合法性证明责任相绑定,即原则上禁止行政机关处理个人信息,仅当特定合法条件得到证明时,该禁止方可解除。从传统行政法的原理出发,这种合法条件首要体现为行政机关获得处理个人信息的具体授权。这种观点承认,获得法律确认的个人信息权对包括行政机关在内的国家机关构成约束。它强调,个人信息权与传统自由权具有相同构造,其意味着个体享有决定何人在何种情形下可知悉、记录、处理自身信息的自由;任何处理行为都构成对这种自由的压缩与个体权利的限制,因而需确保限制的最小化。
上述学术主张都隐含着对个人信息权的权利性质、保护范围等的不同理解,正是这些理解上的分歧,衍生出对个人信息处理行为是否具有权利限制属性的不同认识。就此而言,这两种论证思路都有一定程度的合理性,但细加推敲,仍可发现其可商榷之处。
首先,立法一旦确认新兴权利,甚至将其与宪法基本权利相关联,自然会产生拘束行政机关的法效果。这意味着立法者扩大了权利保护范围,为行政机关增设了新义务或拓展了义务边界。行政机关可以基于何种公共利益、在何种条件下、以何种方式限制相对人权利,固然需要具体的行政法规范来提供依据,但是,相关行为是否具有权利限制属性,并不取决于上述法律规范是否存在。正确的逻辑恰恰是,先认定行为的权利限制属性,再要求行政机关必须依法获得授权。此外,从实定法来看,民法典与个人信息保护法均明确其对行政机关具有拘束力,相关规则自然也应当作为行政活动的依据。特别是,个人信息保护法强调其规定整体性地适用于国家机关的信息处理活动。尽管需考量相关规则与既有行政法原理的调适,但已不能再将行政活动排除于规则约束之外。实际上,从比较法的角度看,个人信息权的发展本就源于对包括行政机关在内的国家机关信息处理活动的约束需求。
其次,通过“自由推定”理解个人信息权,实质是主张沿用传统隐私权的保护路径保护个人信息权。传统隐私权保护聚焦私密性信息,核心方法是截断信息流通、模糊个体信息,使其难以被外界准确感知。然而,个人信息的范围要比私密性信息大得多,在很多场景下,社会交往与协作需要以处理这些信息为前提。因此,法律是否应在任何情况下都以最小化处理个人信息为基本目标,值得商榷。
人具有社会性且始终存在于社会关系中,而社会关系的构建以相互感知为基础,这种感知能力的维持离不开对关联个体信息的持续处理。这意味着对个人信息权的理解需兼顾人的自治性与社会连带性:社会连带性决定了个人并非绝对、无限制地“拥有”自身信息,个体作为社会共同体中的人格体,其信息本质上是社会现实的投射。因此,与传统自由权相比,个人信息与个体自由的关系更为复杂。在很多领域,实质自由的实现依赖于掌握更多信息,例如,医生服务患者、开展人类相关科学研究等,均离不开对个人信息的处理。考虑到个人信息权的核心是保障个体自主参与信息交互、实现人格充分发展,其指向的自由应是“基于交互的自由”:既包含免受他人不当干涉的防御面向,也包含要求保障有效信息交流以借助他人力量实现自身发展的积极面向。因此,个人信息权不应如传统自由权那样过度侧重防御性,法律确立个人信息权的宗旨也不应定位于个人信息的最小化利用。实际上,个人信息保护法已明确其立法目标是平衡个人信息的保护与利用。
具体到行政活动,行政机关肩负维护社会交往秩序的职责,若法律过度压缩其收集、处理个人信息的权限,可能导致其无法有效履行对其他个体的权利保护义务。而且,在很多情况下,行政机关掌握的信息越全面,对当事人越有利。在给付行政领域,为精准提供公共服务,政府需与当事人持续互动,难免要处理更多个人信息。在秩序行政领域,也不乏例证。例如,基于反恐要求对重要岗位人员进行背景审查时,若审查部门仅掌握“是否存在违法犯罪记录”的模糊信息,可能形成过度防范的判断;而掌握具体违法犯罪情况时,则能作出更精准的安排。个人信息必须经过解释才能成为决策判断的背景材料,这种背景材料并非总是越模糊越好。在很多情形中,获取充分准确的信息是政府履行权利保护和公共服务职责的必要条件,行政机关合理妥善地处理个人信息,不仅能提升政府效能,还有助于减轻当事人陈述与举证负担,提升判断的准确性,因而与基本权利的实现息息相关。
(二)个人信息权的工具性与法律明确性的分层适用
基于个人信息处理对于维护社会交往的意义,公法和私法学者都讨论了个人信息权作为权利保护工具的特性,其核心观念在于,真正值得关注的并非个人信息处理行为本身,而是该行为对个体权利与自由的实际影响;保护个人信息的终极目的是通过保护信息来实现对人的保护。当然,这并不意味着判断信息处理行为是否具有权利限制属性,需以其是否实际侵害其他传统权利为标准。个人信息权的确立本身就源于传统权利保护的不充分,需要通过这一权利的独立化,构建更完善的保护屏障。对个人信息的不当使用可能导致个体遭受不法侵害、声誉受损或自由受限等后果,即便这些损害尚未实际发生,仅使个体权利陷入危险状态也在一定程度上构成权利限制。既然个人信息权承担着对个体其他重要权利的防御性保护功能,那么对个人信息的处理就不应被一概视为对权利的压缩,法律更需关注个人信息被不当利用的风险大小,考量其对个体权利造成危害的可能性。在这个意义上,个人信息权与隐私权具有不同的规范诉求,它并非要阻断信息流通,而是要求法律为个人信息处理活动设定规则,尤其要规范那些存在较高权利侵害风险的处理行为。
如果说传统自由权以“自由推定”为原则、以减少国家限制为核心,那么个人信息权则需要系统平衡更多维度的考虑,这一特点应当影响授权基础的设计逻辑。考虑到不同类别的个人信息、不同的处理方式对当事人权利的影响存在显著差异,授权条款所需达到的明确性程度可分层讨论。首先,一些个人信息处理活动虽未导致实际侵害,但根据客观经验可以预见,若其进一步发展则可能对权利造成侵害,此种活动可定义为高风险的个人信息处理活动。在权利限制概念不断扩张、个人信息权获得独立地位的背景下,此类处理活动应被认定为具有权利限制属性,需要通过专门立法为权利限制提供正当性基础,并通过立法明确规定信息处理的目的、条件、范围。其次,在侵扰性较低或者难以标准化的个人信息处理场景中,行政机关可以依据其法定职责推导出个人信息处理权限。其中,侵扰性较低的个人信息处理行为与当事人权利实际受影响之间仅存在理论上的关联,实际损害的发生依赖多种因素的共同影响,且带有一定偶然性,影响的因果链条过长,不确定性显著,应认定为不具有权利限制属性的过程性行为或事实行为;而难以标准化的个人信息处理行为,则需在个案中结合其与当事人权利受影响的关联强度,判断是否具有权利限制属性。不过,正因其难以标准化,在确定授权依据时,应当允许将法定职责的存在视为一般性授权的基础。此时,司法审查的重点在于,借助比例原则审查相关处理活动是否超出履行法定职责所必需的范围和限度。考虑到实践场景的多样性,一般性授权具有必要性。信息处理是几乎所有行政活动的前置环节,过度追求通过具体法规范来实现授权的确定性,并不现实,且会导致规范体系的繁杂。
随着个人信息处理规模的扩大和复杂性的提升,或许已不存在“无足轻重”的个人信息。那些单独看来并不重要的个人信息,在特定处理方式下与其他信息关联后,可能会获得新的重要价值。不过,并非所有抽象、间接的风险都应被视作对权利的限制。相较于传统上具有法律效力和强制性的权利处分行为,“事实上的影响”是一个边界模糊的概念,需要加以明确限定。如果将那些琐碎的、影响链条过长的情形也纳入其中,并要求立法作出详尽规范,显然并不现实。实际上,行政法既有理论也存在区分“危险”和需要管理的一般“风险”的论述。根据权利的受影响程度对法律保留进行层级化处理的思路,本身已有理论支撑。在我国既有研究中,受关注度较高的议题包括何种行政活动必须由法律授权,何种行政活动可由法规或其他基于法律的原因(如执行法律法规的规章)授权等。然而,法律保留的层级化还涉及另一维度的问题,即受“规范密度”影响的法律的明确性问题。在这一维度上,授权规范的明确性程度必须与受该行政活动影响的权利的重要性相一致。正如施米特指出的,“‘法律保留’,即一项先行确定的、可预测的、一般的、可控制的规定的保留只有在涉及真正的基本权利时才有意义”。在这一意义上,高风险处理活动使个体权利面临可预见且具有相当概率的受侵犯可能,导致权利陷入危险境地;同时,个人信息权的立法目的本就在于构建预防屏障,这意味着,此类处理活动已触及个人信息权保护范围的核心领域。因此,这类处理活动对个体权利的实现构成重要影响,对其进行授权自然需要达到更高程度的法律明确性。
上述分层处理的思路,旨在对行政机关处理个人信息的行为进行有限度的类型化规范。在既有理论和实践中,行政机关处理个人信息的行为并未被作为独立的行为类型并获得制度建构,然而,伴随数字化的深度渗透与信息社会的到来,信息处理活动对当事人权利的影响已日益深远,不能再将信息处理仅视为相关行政活动的附属要素而仅进行附带性规范,而需要通过法律构建相应的信息秩序。
四、高风险个人信息处理活动的识别与具体授权规则
对法律明确性要求的分层适用,首先需要将高风险的个人信息处理活动类型化为具有权利限制属性的行为,进而在法律或行政法规中明确规定该种处理行为的目的、范围和方式等。在此过程中,识别高风险的个人信息处理活动构成关键环节,而个人信息的类型和信息处理方式,是判断个人信息处理活动是否具有高风险的重要维度。
(一)对敏感个人信息的处理
个人信息所涉及的领域既包括核心隐私领域,也包括虽属私人领域但为满足其他合法利益需求可依据比例原则权衡的领域,还包括与隐私无关的社交领域。因此,不同类型的个人信息处理对个体权利的影响存在显著差异。在我国既有实践中,已有严格管控特定类型个人信息处理的经验。这种特定类型的个人信息被个人信息保护法概念化为“敏感个人信息”,即“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
敏感个人信息因其自身特性,一旦被不当使用,更易导致个体人格尊严受损或人身、财产权利受侵害,因此需要强化预防屏障。对这类信息的处理会使个体权利面临较高的受侵害风险,应被认定为具有权利限制属性的行为,行政机关必须通过法律、行政法规的具体授权方可取得相应的处理权限。通过严格的立法程序(而非行政机关自行制定规章或规范性文件),能够更全面地权衡处理行为是否具备“充分的必要性”,同时,通过立法严格约束此类信息处理所服务的行政目的,也能更有力地将处理活动限定在必要范围内。实际上,从当下具体领域的实践看,对这类敏感个人信息的处理,诸多单行法已明确要求行政机关必须获得相应授权。
个人信息保护法对敏感个人信息采取“概括+列举”的方式定义,为判断敏感个人信息提供了法定标准。但是,敏感个人信息仍是不确定的法律概念,存在解释的空间。由于公共部门与私人部门的行为动机和运行机制不同,且个人信息保护法多以私人部门处理个人信息为预设场景,在理解与适用该法时,还需结合公共任务履行的特点作出调适。实际上,平衡国家机关任务履行需要与个人信息保护需求,是个人信息保护法的重要立法目标,这也是该法专节规定国家机关处理个人信息的重要理由。这种立法思路本身意味着,对敏感个人信息的解释需结合国家机关履行法定职责的具体场景。例如,个人信息保护法明确将“不满14周岁未成年人的个人信息”全部纳入敏感信息,这与未成年人保护法强化网络保护的立场相呼应。然而,后者主要规范私人部门对未成年人个人信息的处理,而政府部门为履行未成年人保护职责,在信息掌握上需更具灵活性。更重要的是,在教育等领域,包括学校在内的广义公共机构承担的任务复杂且不断拓展,若要求其仅依据立法明确限定的目的、范围处理未成年学生的信息,可能导致机制僵化,影响新型任务的履行。再如,“特定身份信息”这一不确定法律概念,在公共部门与私人部门中也需差异化理解。在私人部门的信息处理活动中,对身份识别号码的不当处理可能给个人带来“身份盗窃”的危险,增加财产犯罪的隐患;处理个体家庭住址信息也可能导致隐私泄漏。然而,对行政机关而言,身份识别号码本身就是通过法律程序形成的信息,个体家庭住址信息则是开展联络、送达等法律程序所必需。若要求此类信息均需要获得法律、行政法规授权方能处理,将显著降低行政效率。
(二)高风险的信息处理方式
信息处理对于社会交互的意义取决于场景,当信息处理方式与社会对于特定场景下的信息规范相冲突,就会构成对权利的侵犯。实践中,容易与社会隐含的信息规范产生冲突的信息处理方式包括但不限于以下几种。
1.系统性地利用个人负面信息
信息是能够影响其接收者行为或状态的事实,信息的接收者通过处理这些事实,构建起解释背景并形成行动方向。相关主体利用个人信息作出的行为对当事人权利的限制效果越大,个人信息处理本身的风险程度就越高,因为这种处理活动对受影响的权利造成了上游干扰。就此而言,对负面个人信息的处理需要受到特别关注,尤其是那些并非服务于个别决策,而是系统性地处理和利用负面个人信息的活动。
其一,向社会公开负面个人信息。负面个人信息的公开会引发社会评价,进而损害当事人的社会声誉,造成污名化等后果。在互联网时代,此类行为导致的人格贬损等权利侵害往往难以逆转。同时,大量社会主体可能基于不同目的利用这类信息,这会引发扩散效果,产生诸多重叠的、非预期的影响。实际上,这一问题已引发立法层面的关注。例如,行政系统曾试图全面实施行政处罚决定公示,并通过发布指导意见而非制定法律、行政法规的方式推行这一做法。但是,社会公众和理论界逐步认识到,在当代信息社会,这种公开将在很大程度上影响当事人的声誉(包括商誉),对其获得交易机会等利益产生重大影响。2021年修订的行政处罚法也对行政处罚的公开条件作出了限制,规定“具有一定社会影响的行政处罚决定应当依法公开”。当然,对自然人而言,除公布行政处罚决定外,公布有关违法事实、监督检查发现的负面事实等行为,均会产生相同效果;而公开其他可能引发歧视等负面社会评价的信息,亦是如此。
其二,在政府内部系统化利用个人负面信息。传统上,政府内部记录个体违法行为等,被认为不具备外部影响,对当事人权利无限制效果。然而,在数字化、网络化时代,有必要区分简单记录与将信息纳入档案并使其能以标准化、自动化方式处理的记录。后者使得信息能够被大量检索、引用,成为整个行政管理过程的制度化记忆。这意味着,在整个行政管理过程中,个体存在一个数据投射(影子),行政机关通过对其数据的认知来代替对他本人的认知。如果这些记录并非中性,如将某人列入失信名单,这些记录本身就会将个人置于一个赋予其额外意义的环境中。只要记录存在,个体每次与行政机关接触时都可能被视为潜在威胁,从而构成对其权利的限制。
2.大规模汇集、利用个人信息
信息的有用性会随着信息量的增加而成倍增趋势,将信息关联整合可产生新的知识。当下,数字政府建设已成为国家战略,以数据赋能决策与管理服务成为日益凸显的趋势,其中的关键举措便是推动政务数据共享。政务数据共享有利于推动实现政府治理的整体性,确保行政机关全面掌握所涉领域的信息、把握事物本质、作出科学决策,同时降低行政成本、提升政务服务对公众的可及性,实现“群众少跑腿,数据多跑路”。但是,当政务数据共享涉及个人信息时,便与个人信息保护法确立的目的限制原则产生张力。目的限制原则将个人信息限定在特定的信息处理闭环中,为特定目的收集的信息不得用于其他目的的信息处理,这是防止个人信息滥用的基础机制。从这一原则出发,公共部门并非单一整体,而是存在多个层级,各子领域的目标存在差异,个人信息处理的目的必须与相关机构各自的职责任务相匹配。因此,有论者指出,政务数据共享涉及个人信息时,需要在原则层面重新审视和建构。
这一矛盾能否调和,取决于采用何种基础模式推进涉及个人信息的政务数据共享。目的限制原则旨在确保个人信息根据既定目的服务于特定处理环境。政务数据共享提出的问题是,在什么条件下,可以从某一信息流中提取特定个人信息并将其输入另一信息流,即进入另一处理环境。从实践来看,政务数据共享有两种不同的方式:一是行政机关在履行法定职责过程中,针对具体个案,请求其他行政机关传输记载了特定个人信息的数据;二是依托公共数据共享平台进行规模化的数据汇集。
前一种共享模式的实质是引导个人信息从一个处理环境有序汇入另一处理环境,并不构成对目的限制原则的违反,也并不必然使个体权利面临被侵犯的高风险。如果这些信息系接收信息的机关履行职责所必需,该行政机关自己也可以通过其他途径收集这些信息,共享只是使其履职更加方便而已。这也是传统行政法确定职务协助义务的应有之义。我国不少法律法规都规定,有关行政机关应当为其他行政机关履行职责提供必要协助,域外一些国家还通过行政程序法将这种义务一般化,其中,信息协助是最为基础的部分。因此,这类基于个案的数据共享,若系接收机关履行职责所必需,或在涉及敏感个人信息时已通过法律法规获得处理权限,则数据共享并不构成新的具有权利限制属性的活动。
后一种共享模式则从根本上颠覆了目的限制原则试图构建的特定信息循环,属于高风险的共享模式。对个体而言,单一信息可能意义有限,而其一旦与其他特征、行为等信息相结合,就能建立人格档案,还原甚至重建个体生活轨迹。个体在社会网络中交换信息、开展协作时,隐含着隐私受保护的主观期待,即期待信息仅在有限的社会关系网络内传播、为有限主体所接触。社会需要尊重这种期待,否则个体将对信息分享缺乏信任,这既会影响社会关系的构建,也会阻碍政府管理与服务的开展。而前述大规模数据汇集活动,恰恰容易侵犯公民对隐私受保护的合理期待。疫情防控期间,健康码因汇集大量敏感信息而引发公众普遍焦虑,便是典型例证。此外,大规模个人信息汇集后的自动化处理和数据挖掘,还会制造更多的风险。当下大数据已被用于预测违法行为的时空分布、对个体开展风险评估等,这固然能在某些方面提升执法效率,但也容易导致错误执法、加剧歧视与权力滥用、威胁个人信息安全等问题,而传统行政法中的正当程序、个案公正裁量等重要价值,在这种新型行政方式下也将受到冲击。
3.要求第三方批量报送个人信息
伴随大量活动向互联网空间迁移,行政机关难以通过传统的行政调查、现场检查等方式获取信息,开始越来越多地从平台公司等私人主体处调取数据。从实践来看,此类调取不限于已立案且有明确违法嫌疑人的个案调查,更扩展至要求互联网平台等第三方主动、批量报送含个人信息在内的数据。这一趋势在行政执法、税收征管等诸多领域均有体现,其目标已不局限于个案执法,而是延伸至更广范围的违法违规行为监控。
人际关系的合理构建依赖于沟通与信息交流,而信任是有效沟通的前提。因此,医生与患者、律师与客户之间的保密义务,可视为较早的个人信息保护规则,其意义在于维护忠诚关系,确保行为正当,以塑造相互信任的环境。在当下的数字时代,互联网平台公司等主体将个人信息处理作为其商业、技术架构中的重要环节,但用户对企业运营中处理这些信息的方式及共享对象却知之甚少。这导致用户难以有效评估风险并预知可能的不利影响。正因如此,法律需要强化互联网企业的信托义务以保障用户权益,而个人信息保护法强调诚信原则,目的也正在于构建能够维护信任关系的数字空间。
行政机关要求平台公司等第三方主体批量报送涉及个人信息的数据,其高风险性体现在:其一,所涉个人信息的处理本由相关主体约定,此类报送额外增加了当事人未预见的处理目的,影响当事人自我决定权的行使,干预了平台公司与其客户之间的双方合意;其二,行政权力以不透明的方式行使,受影响个体未参与信息处理程序,难以提出异议或为不准确信息辩解;其三,批量报送涉及的主体范围广,即便对单个个体影响有限,其累积效应也不可小觑,存在权利限制的叠加风险;其四,除影响个人信息权外,还会加重企业义务,影响企业经营自主性,进一步强化权利限制的叠加效应;其五,这意味着政府与大型企业形成合作,易破坏个体对政府和企业的信任,影响互联网交互的有效性,进而对个体权利行使环境造成不良影响。这些因素的叠加,使得此类信息处理活动极易引发权利侵害。
(三)具体授权的明确性要求
为发挥个人信息权的前置性保护功能,高风险的个人信息处理活动应当被认定为具有权利限制属性。从这一定位出发,相关处理活动的权限既不能从宽泛的职责性规定中推导而出,也不能通过政府规章进行自我授权,而需由更高层级的立法予以具体授权。就此而言,个人信息保护法关于国家机关处理个人信息“应当依照法律、行政法规规定的权限、程序进行”的规定,提供了一个可拓展的规则起点,可将其解释为:实施具有权利限制属性的个人信息处理行为,需要由法律、行政法规具体授予处理权限。
具体授权的功能在于,一方面,通过立法过程汇集各方意见,以全面、客观地权衡行政任务实现的必要性与个体权利受侵犯的风险。尽管某些处理行为具有高风险,但这种风险未必会转化为实际的权利侵害,因此无需完全禁止;然而,高风险的存在决定了能否实施特定行为需要通过更严格的立法程序审慎抉择,而不能任由行政机关自行决定。另一方面,通过具体授权将高风险处理活动限定在必要范围内,能使公民根据明确的法律规则对自己的行为后果形成合理预期,避免因法律的不确定性而产生焦虑。以前述行政机关向互联网平台调取数据为例,政府有效执行法律以及履行其他公共职能的前提是具备获取信息的能力,而数字空间的匿名性、跨地域性等特点对政府监管能力构成深刻挑战。因此,尽管需要强调平台对用户的信托义务,但这种义务不应绝对化,这正如银行对客户负有信息保密义务,但法律也可以要求其报告可疑交易。平衡之道在于,将此类信息处理活动视为某些场景中必要却具有高风险的行为,要求法律、行政法规明确规定信息报送的范围、程序等。法律明确性的增强,也能重建权力行使的透明度,便于用户预见自身行为的后果。
为实现上述功能,法律、行政法规的具体授权需对个人信息处理的目的、范围、方式等予以明确。否则,概括性的权限授予与从职责中推导权限便无本质区别。例如,治安管理处罚法修订草案曾增设生物识别信息处理条款,这引发了广泛争论。有学者主张删除该条款,但假如完全否定此类信息处理的合法性,难以想象公安机关如何调查酒驾等违法行为。因此,问题的关键不在于立法是否可在必要时授权,而是在相关授权规范中,对于行政权力的发动条件、范围等的规定需要达到何种明确程度。就此而言,上述草案中的相关授权过于宽泛,未限定具体行政目的,亦未规定处理范围等。在最终通过的法律文本中,生物识别信息处理的目的被限定为“为了查明案件事实”,即只有当相关信息处理对判断是否构成违法行为以及该当何种处罚具有直接影响时,公安机关方可采集;同时,增加了“提取或者采集被侵害人的信息或者样本,应当征得被侵害人或者其监护人同意”的规定,进一步限定了处理受害人相关信息的条件,这些调整均有利于提升相关授权规定的明确性。
五、一般授权的适用场景与法律明确性不足的弥补机制
在侵扰性较低或者难以标准化的个人信息处理活动中,应当允许行政机关从其法定职责中推导出处理权限。个人信息保护法规定的为履行法定职责所必需,可被理解为一般授权。面对复杂多变的现实以及新型个人信息处理技术和场景,这种一般授权具有现实意义。对于法律明确性不足可能导致的权利保护漏洞,可利用其他制度工具来弥补。
(一)一般授权的意义与应用场景
一般授权既能使立法者免于过重负担,又能通过其开放性与灵活性,使行政机关在新的、不可预见的或非典型的场景中采取有效行动。在信息处理无所不在的现代社会,难以要求事无巨细均由法律具体授权。行政活动是行政机关与社会持续交互的过程,而信息处理是其正确履职的先决条件——它为后续措施创造法定条件,具有服务功能,因而呈现广泛铺开的特征。此外,对信息的记录并非仅始于拟采取具体行动之时,很多情况下政府需要提前建立信息库,为及时行动做好准备。对如此广泛的信息处理活动进行彻底标准化,是难以完成的任务。同时,承认一般授权也是保障依法行政的内在要求。法律要求行政机关作出决定时必须依据准确的事实,这就需要行政机关在法律授权范围内广泛运用取证手段厘清事实、形成确信,遵循职权主义调查原则。这种调查需依据事实线索展开,而线索定义了未来信息处理的方向,很难被完全标准化。
一般授权需要限定适用场景。首先,它可适用于侵扰性较低的个人信息处理活动。在刑事诉讼等领域,权利限制概念的扩张与权利保护范围的扩大对侦查等行为产生了影响,理论上发展出“门槛理论”予以回应——即权利影响未超过一定门槛时,可通过一般任务条款证成调查权限。行政机关处理个人信息亦可参考这一理论,例如,对不涉及敏感个人信息的中性记录,应当允许从职责中推导出处理权限。其次,它可适用于难以标准化的领域。行政任务比追惩性的刑事诉讼更为复杂,且范围不断拓展,部分领域的信息处理活动确实难以标准化,给付行政便是典型代表。通常情况下,行政管理措施对个体自由的触及是点状的;而在给付行政领域,行政机关需与当事人持续交互,个人也需日常性地配合政府职能履行,这要求双方密集交换信息。尽管此类信息处理活动也可能对个体权利造成侵害,但其直接目的是服务于授益性行为的实施、保障个体权利实现。因此,应当允许通过个人信息保护法的一般授权从职责推导权限。例如,在社会保障行政活动中,行政机关需持续了解个人家庭、财产、就业等情况,掌握这些信息有助于准确认定资格,确保财政资源的分配更加公平;而个体选择参与政府给付活动时,也应容忍与政府保持更紧密的联系。
最后,一般授权还可适用于风险预防领域。在现代风险社会,行政权需妥善承接基本权利保护义务,在依法行政原则下升级管制形式。风险预防的关键在于对信息的掌握和处理,行政机关往往需要通过概括条款或较模糊的要件限制,获得具有法律弹性的信息处理权限。尤其在“澄清危险”领域,若存在危险怀疑,行政机关需保留随机判断是否进一步收集信息的裁量空间,此时不能过分苛求授权达到较高程度的明确性要求,在何种场合安装视频监控的判断即属此类。此外,只有掌握了充分的信息,行政机关才能对潜在风险与适当防卫措施进行有效评估;若信息存在过多不确定性,按照“预防胜于补救”的理念,行政机关可能需采取对当事人限制性更强的管制手段,这通常对受影响的当事人更为不利。
(二)弥补法律明确性不足的方案
在现代社会,行政任务持续扩张,其复杂性与开放性也不断提升,法律明确性对于行政的控制功能已大体达到极限。过度追求明确性既不现实,也易损害行政灵活性;过于繁琐的规定还会导致法律理解上的困难,偏离法律保障可预测性的初衷。实际上,立法的实体控制并非现代行政法的唯一控权途径,行政机关的自我规制、程序与组织层面的控制等,均可发挥替代功能。
1.要求行政机关自行制定更明确的规则
法律可要求主管部门通过规章或规范性文件,明确本领域日常及典型的个人信息处理活动的目的、范围与措施,逐步实现处理活动的标准化、类型化,形成清晰的规则框架。这种行政自我约束,与裁量基准的功能大致相当,既能提升法律确定性,又不会过度丧失灵活性。借此,个体可预见处理目的与范围以调适行为,行政机关则能具体化处理目的并限定处理范围。强化此类自我规范也符合现代权力分工理念——行政部门作为控制网络中的行动者,可为法律具体化作出重要贡献。
2.以“告知—同意”作为补充工具
告知处理目的后取得个人同意,不能单独作为行政机关处理个人信息的合法基础,法律通常也不强制要求行政机关取得当事人同意。这是因为,行政机关原则上遵循职权主义调查原则,需全面收集信息,不以当事人的主张为限。但是,这并不意味着“告知—同意”规则在行政活动中无适用空间,它仍可作为有效的补充工具。
首先,在依据一般授权处理个人信息时,法律可鼓励行政机关运用“告知—同意”工具。此时行政机关并非依据法律、行政法规的明确授权处理信息,其有义务证明相关处理活动系为履行法定职责所必需。鉴于对是否“必需”的判断常存争议,法律可鼓励行政机关通过“告知—同意”机制夯实合法性基础。因双方协商一致已能在相当程度上保障当事人权利,后续发生争议时,法院或监督部门应对行政机关的信息处理活动给予更多尊重,除非处理活动明显超出履职之必需范围。
其次,在给付行政等特定领域,可更全面地运用“告知—同意”工具。由于该领域的信息处理更多依赖一般授权,需要从职责推导权限,立法可更多要求行政机关取得当事人同意后再处理相关信息,以作为对一般授权的补充。这有利于当事人参与个人信息处理过程,便于其对不必要的收集处理提出异议以制衡权力。若当事人拒绝同意且行政机关无法通过职权调查获取信息,当事人往往需承担无法获得给付的不利后果,因此其拒绝同意时会更为谨慎,不会过度影响行政效率。
3.强化行政系统内部的程序与组织架构控制
行政法既有理论对行政机关的内部程序及履行这些程序所需的组织架构缺乏充分关注,但至少在个人信息保护领域,这一规范进路应受高度重视。当下个人信息保护法中的规定多为原则性、导向性规定,要求个人信息处理者自行建立相应组织架构与程序机制以落实原则指引,是该法的重要特点。对行政活动而言,强化行政系统内部的程序与组织架构控制,在一般性的个人信息处理活动中,可以弥补法律明确性的不足,在高风险处理活动中,则可强化保护力度。以在公共场所安装视频监控为例,虽然很难事前通过立法明确设置视频监控的标准,但立法可以通过对视频调阅、查看等设置严格的内部管理程序来规范信息使用行为。此外,个人信息保护法所确立的个人信息保护影响评估等内部控制程序,也可作为行政机关处理个人信息的重要内控工具。通过健全内部程序,既能强化合法性控制,为事后审查提供证据、明确责任归属,又能防止权力滥用。当然,健全内部程序控制还要求行政机关内部建立分工制衡的组织架构。就此而言,个人信息保护法关于个人信息保护负责人的规定也需通过适当方式引入行政系统。
结 语
数字化凸显了个人信息保护的重要性,这要求我们重新审视行政机关处理个人信息行为的性质,并在此基础上厘清此类活动所需的授权基础。对这一问题的讨论不能简单化:一方面,个人信息权的法律确认及随之产生的保护个人信息的需求,对行政机关而言是一项“新的”要求。在传统框架中,这类需求常被视为行政任务履行的预设前提,处于隐而不述的状态。另一方面,在一切皆可数据化的当代社会,个人信息处理已渗透到极其广泛的活动中,个人信息保护法也面临着成为“覆盖所有领域的法律”的趋势,由于个人信息权对几乎所有法域都能产生影响,对其解释需要保留足够弹性,既要防止行政活动成为个人信息保护的“法外之地”,又要避免过度繁琐的授权要求导致行政活动动辄得咎,影响效率与灵活性。就此而言,通过有限类型化的思路区分不同情况并分别设计规范方案,能够兼顾并平衡各方面的需求。
